當前最為常見的木馬通常是基於TCP/UDP協議進行client端與server端之間的通訊的, 既然利用到這兩個協議,就不可避免要在server端(就是被種了木馬的機器了)打開監 聽端口來等待連接。例如鼎鼎大名的冰河使用的監聽端口是7626,Back Orifice 2000 則是使用54320等等。那麽,我們可以利用查看本機開放端口的方法來檢查自己是否被 種了木馬或其它黑客程序。以下是詳細方法介紹。 1. Windows本身自帶的netstat命令 關於netstat命令,我們先來看看windows幫助文件中的介紹: Netstat 顯示協議統計和當前的 TCP/IP 網絡連接。該命令只有在安裝了 TCP/IP 協議後才可以 使用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 參數 -a 顯示所有連接和偵聽端口。服務器連接通常不顯示。 -e 顯示以太網統計。該參數可以與 -s 選項結合使用。 -n 以數字格式顯示地址和端口號(而不是嘗試查找名稱)。 -s 顯示每個協議的統計。默認情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可 以用來指定默認的子集。 -p protocol 顯示由 protocol 指定的協議的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項 壹同使用顯示每個協議的統計,protocol 可以是 tcp、udp、icmp 或 ip。 -r 顯示路由表的內容。 interval 重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統 計。如果省略該參數,netstat 將打印壹次當前的配置信息。 好了,看完這些幫助文件,我們應該明白netstat命令的使用方法了。現在就讓我們現 學現用,用這個命令看壹下自己的機器開放的端口。進入到命令行下,使用netstat命 令的a和n兩個參數: C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0 解釋壹下,Active Connections是指當前本機活動連接,Proto是指連接使用的協議名 稱,Local Address是本地計算機的 IP 地址和連接正在使用的端口號,Foreign Address是連接該端口的遠程計算機的 IP 地址和端口號,State則是表明TCP 連接的狀 態,妳可以看到後面三行的監聽端口是UDP協議的,所以沒有State表示的狀態。看!我 的機器的7626端口已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了 冰河!急忙斷開網絡,用殺毒軟件查殺病毒是正確的做法。 2.工作在windows2000下的命令行工具fport 使用windows2000的朋友要比使用windows9X的幸運壹些,因為可以使用fport這個程序 來顯示本機開放端口與進程的對應關系。 Fport是FoundStone出品的壹個用來列出系統中所有打開的TCP/IP和UDP端口,以及它們 對應應用程序的完整路徑、PID標識、進程名稱等信息的軟件。在命令行下使用,請看 例子: D:\>fport.exe FPort v1.33 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. Pid Process Port Proto Path 748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe 748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe 748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe 416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 是不是壹目了然了。這下,各個端口究竟是什麽程序打開的就都在妳眼皮底下了。如果 發現有某個可疑程序打開了某個可疑端口,可千萬不要大意哦,也許那就是壹只狡猾的 木馬! Fport的最新版本是2.0。在很多網站都提供下載,但是為了安全起見,當然最好還是到 它的老家去下: /knowledge/zips/fport.zip 3.與Fport功能類似的圖形化界面工具Active Ports Active Ports為SmartLine出品,妳可以用來監視電腦所有打開的TCP/IP/UDP端口,不 但可以將妳所有的端口顯示出來,還顯示所有端口所對應的程序所在的路徑,本地IP和 遠端IP(試圖連接妳的電腦IP)是否正在活動。 更棒的是,它還提供了壹個關閉端口的功能,在妳用它發現木馬開放的端口時,可以立 即將端口關閉。這個軟件工作在Windows NT/2000/XP平臺下。妳可以在 stat命令比以前的版本多了壹個O參數,使用這個參數就可以得出 端口與進程的對應來。 上面介紹了幾種查看本機開放端口,以及端口和進程對應關系的方法,通過這些方法可 以輕松的發現基於TCP/UDP協議的木馬,希望能給妳的愛機帶來幫助。但是對木馬重在 防範,而且如果碰上反彈端口木馬,利用驅動程序及動態鏈接庫技術制作的新木馬時, 以上這些方法就很難查出木馬的痕跡了。所以我們壹定要養成良好的上網習慣,不要隨 意運行郵件中的附件,安裝壹套殺毒軟件。
滿意請采納